Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили новый сценарий мошенничества, который нацелен на IT-специалистов, находящихся в поиске работы или дополнительного заработка. Цель злоумышленников – убедить потенциальную жертву установить на своём устройстве вредоносное приложение, чтобы получить доступ к СМС и push-уведомления от банков.
Для этого мошенники с подставных аккаунтов размещают объявления о тестировщиков приложений от крупных компаний с зарплатой от 3000 до 5000 рублей за час работы. Среди требований – российское гражданство и смартфон на базе Android. Фейковые вакансии размещают на всех возможных площадках: от профильных Telegram-чатов и групп в социальных сетях до популярных платформ бесплатных объявлений, сервисов поиска работы и сайтов для фрилансеров.
Примеры объявлений, которые используют мошенники
При создании аккаунтов на таких сайтах злоумышленники стараются создать образ, вызывающий доверие. Как правило, для этого используют качественные фото мужчин-руководителей. Для продвижения фейковых объявлений в социальных сетях мошенники покупают рекламу. В отклике на вакансию потенциальных тестировщиков просят указать название устройства и возраст.
После того, как пользователь отвечает на ложную вакансию, найденную на сайте бесплатных объявлений или сервисе поиска работы, мошенники предлагают продолжить переписку в Telegram или WhatsApp (принадлежит компании Meta, которая признана экстремистской организацией и запрещена в РФ). Для обхода запретов на обмен контактами, который установлен на сайтах для фрилансеров, злоумышленники могут использовать облачные файлы: например, прислать ссылку на документ якобы с тестовым заданием, в котором на самом деле указан только аккаунт для контактов.
При общении в мессенджере мошенники подтверждают условия работы, указанные в объявлении, и под предлогом трудоустройства просят заполнить анкету: указать ФИО, номер телефона, дату рождения, а также номер банковской карты – якобы для перевода заработка. Деньги обещают перевести на карту сразу после завершения тестирования и предоставления видео или скриншотов, а также отчёта о найденных ошибках.
После «заполнения анкеты» соискателю сразу же сообщают, что он принят и может приступить к выполнению первого задания. Под видом приложения для тестирования пользователю присылают АPK-файл. На самом деле это троян удалённого доступа (RAT), который позволяет злоумышленникам получить контроль над устройством жертвы и перехватывать все СМС и пуш-уведомления.
Пример переписки с мошенниками
Чтобы убедить жертву установить вредоносный АPK-файл на устройство и выдать все запрашиваемые разрешения, мошенники убеждают соискателя, что его задача – тестировать приложение как обычный пользователь, в том числе проходить регистрацию и проверять функции. Также злоумышленники заранее предупреждают жертву, что при установке приложения антивирус может определять его как вредоносное.
Также мошенники инструктируют жертву, что после установки приложения необходимо ввести четырёхзначный код и подождать около 30 минут якобы для «постановки в очередь тестировщиков». На самом деле преступники сразу после установки вредоносного ПО получают возможность похитить деньги с банковских счетов пользователя. Полчаса ожидания как предлог необходимы злоумышленникам, чтобы жертва не заметила подозрительных финансовых операций и не заблокировала их.
Две скам-группы, которые используют эту схему с начала апреля 2025 года, похитили у жителей России более 14 млн рублей — от действий злоумышленников пострадали около 1000 пользователей.
«Схема, при которой пользователь сам устанавливает троян на свой смартфон, настолько удобна для мошенников, что они постоянно придумывают для неё новые поводы и адаптируют старые. Новый сценарий с фейковым тестированием приложений рассчитан в первую очередь на IT-специалистов без опыта работы, студентов, которые готовы использовать для тестирования приложений личные устройства – чего делать нельзя ни в коем случае. Именно по этой причине злоумышленники, которые используют сценарий с тестированием фейковых приложений, отказывают пользователям, которые используют много устройств – это показатель, что потенциальная жертва занимается тестированием профессионально и получить доступ к её мобильному банку не удастся», — Мария Синицина, старший аналитик департамента Digital Risk Protection компании F6.
Рекомендации для защиты от мошенничества с трудоустройством и фрилансом в IT:
- При поиске вакансий помните: зарплата выше рынка, если такие условия предлагает не известная крупная компания – один из отличительных признаков объявлений от мошенников. Как правило, высокий доход предполагает столь же высокие требования к кандидату. Если в объявлении обещают высокую зарплату при низких требованиях или их отсутствии – это признак вероятного обмана.
- Не переходите по ссылкам от незнакомцев. Если знакомый контакт прислал ссылку, которую вы не просили, открывать её также не стоит.
- Устанавливайте мобильные приложения только из официальных магазинов (обязательно проверяя правильность их доменных имён), от проверенных разработчиков и только в том случае, если точно знаете, для чего эти приложения вам нужны.
- Проверяйте разрешения, которые запрашивают мобильные приложения после установки. Если приложение требует дать ему разрешения, которые напрямую не связаны с заявленным функционалом (например, для чтения смс и контактов), игнорируйте такие запросы, а ещё лучше – удалить такое приложение, чтобы исключить риск передачи конфиденциальной информации неизвестным без вашего ведома, и проверить устройство антивирусом.
- Если при установке приложения антивирус определяет его как вредоносное, отмените установку.
С заботой о вашей безопасности, команда Origin Security
